开悟吧

v1.0.2

开悟吧平台型 Skill - 管理并激活已购功能。用户说"开悟吧"时执行 activate.py 脚本。

⭐ 0· 63·1 current·1 all-time

by@markma84

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for markma84/kaiwu8.

Previewing Install & Setup.

Prompt PreviewInstall & Setup

Install the skill "开悟吧" (markma84/kaiwu8) from ClawHub.
Skill page: https://clawhub.ai/markma84/kaiwu8
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install kaiwu8

ClawHub CLI

Package manager switcher

npx clawhub@latest install kaiwu8

Security Scan

Capability signals

Requires sensitive credentials

These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.

VirusTotal

Suspicious

View report →

OpenClaw

Benign

high confidence

ℹ

Purpose & Capability

技能声称管理并激活已购功能，activate.py 的行为与此一致：请求配置中的 api_endpoint 和 user_api_key，呼叫 /account/features 与 /account/activate，然后根据返回的 payload 在用户主目录下的 ~/.openclaw 内写文件。唯一不一致是 SKILL.md 没有明确说明需要先创建/配置 config.json（脚本会提示配置缺失）。

ℹ

Instruction Scope

SKILL.md 指示运行 activate.py 并说明会自动调用 API，但未说明需要把 api_endpoint 和 user_api_key 写入 ~/.openclaw/skills/kaiwu8/config.json。脚本只与用户指定的远端 API 通信并仅支持 execute_payload 中的 write_file 操作，且限制写入路径到 ~/.openclaw（见下一点的弱点）。脚本不会读取其他系统文件或环境变量.

✓

Install Mechanism

这是一个 instruction-only skill（无安装步骤、无外部下载），只有一个 Python 脚本，运行时不会拉取或执行来自不明 URL 的代码。

ℹ

Credentials

脚本需要 api_endpoint 与 user_api_key，但这些并不是以环境变量形式声明，而是期望放在 ~/.openclaw/skills/kaiwu8/config.json。请求的凭据与技能目的相符（用于向购买平台认证），但请注意这些凭据将被发送到由你在配置中指定的端点——只在你信任的服务上使用真实密钥。

✓

Persistence & Privilege

没有设置 always:true，也未修改其他技能或系统范围配置；脚本在 ~/.openclaw 下创建和写入自己的文件（activated.json, log），这与其目的相符。

Assessment

要点与建议： - 功能与代码大体一致，但在安装/使用前你必须在 ~/.openclaw/skills/kaiwu8/config.json 放入 api_endpoint 和 user_api_key，SKILL.md 没有说明这一点，请先准备好配置。 - 脚本会把文件写入 ~/.openclaw 下（包括 activated.json 与 kaiwu8.log）并把你的 API 密钥发送到你在配置中指定的服务器。仅在你信任该服务器时才填写真实密钥；如果不信任，可先查看/运行脚本并使用测试环境的 endpoint/key。 - 代码中对允许写入路径的检查使用字符串前缀比对（startswith），存在边界情形（例如名为 ~/.openclaw_evil 的目录也会通过前缀匹配）——这属于实现上的小漏洞。若担心，可在将来手动审查或修改脚本以使用 Path.is_relative_to（Python 3.9+）或更严格的路径检查。 - 没有发现脚本从远端下载可执行文件或访问其他系统凭据，也没有其它隐藏网络端点。若你打算使用此技能： 1) 手动审阅 activate.py（已显示在清单中）； 2) 只把 api_endpoint 指向你信任的官方域名并使用最小权限的 API key； 3) 考虑在隔离环境或备份配置前先运行以观察行为。 - 如果你希望更高保证，请要求技能作者在 SKILL.md 中补充配置说明并修复路径校验细节，或请求签名/发布来源信息（当前 source/homepage 未提供）。

Like a lobster shell, security has layers — review code before you run it.

latestvk979zxdk8c8kvnc30dy2n5zazh85qter

63downloads

0stars

3versions

Updated 2h ago

v1.0.2

MIT-0

开悟吧 kaiwu8

用户只需要安装这一个 skill，所有功能从这里激活

触发条件

用户说："开悟吧"

执行步骤

运行 activate.py
系统自动调 API 检查已购功能
未激活的功能自动执行激活

Comments

Loading comments...